新闻快讯
< >

破解企业环境内区块链体系的五种方式

E安全7月20日讯 专家警告称,非加密货币用例当中可能存在区块链安全风险。

目前网络安全圈当中最为热门的话题之一,正是企业区块链。其底层技术与支持比特币等加密货币的方案完全 相同。简单来讲,区块链是一份由各对等方之间共享的交易或合约列表,其中还配备一些精妙的加密锁定机制以防止内容篡改。除了比特币之外,区块链技术亦可用于确保供应链完整性、管理合约,甚至可以作为金融交易的执行平台。

破解企业环境内区块链体系的五种方式-E安全

区块链在加密货币领域的普及、密码学的使用与去中心化性质,反复向支持者们证明其足以成为我们当前面临的诸多网络安全问题的理想解决方案。举例来说,Akamai Technologies公司目前正在构建一套用于在线支付的区块链驱动型网络。Akamai Labs副总裁兼CTO Andy Champagne表示,“区块链本身就是一种安全技术,其一直以安全原则作为指导基础。”

Champagne指出,关于区块链交易所遭到黑客入侵的新闻实际上指向的是开放的公共网络,这意味着任何人都能够充当其中的节点。“企业区块链项目与公共网络有所不同,其同样属于授权加入型区块链。其中存在一组节点,但各节点以私有形式存在,且通过一组安全边界限制对组织内各节点的访问的访问。”

Kudelski Security公司CTO Andrew Howard也对此加以证实,表示这样的结论绝非炒作。即使还算不上灵丹妙药,区块链技术带来的收益也真实可靠。他解释称,“区块链的基本概念与设计假设都拥有强大的攻击抵御能力。从学术角度讲,区块链具有重要的意义。如果实施得当,其很难遭到攻击与破解。”

尽管黑客可能的确很难成功突破区块链的防御体系,但其仍然称不上无懈可击。许多安全专家警告称,企业环境下的区块链实现方案也许会带来一系列需要关注的风险。

加密货币犯罪活动规模庞大

目前还没有出现任何针对企业区块链项目的网络攻击报告,但这主要是由于该技术尚处于早期开发或试点阶段。事实上,针对公有链项目的攻击则相当常见。

据Carbon Black公布的数据,黑客在今年上半年总计窃取到价值11亿美元的加密货币。Carbon Black公司安全策略师Rick McElroy表示,“网络犯罪水平的增长使得有能力编写相关恶意代码的人群呈现出显著的扩张趋势,而暗网则为他们提供了完美的市场销售方式。犯罪分子从这些攻击活动中获得的专业知识以及暗网中传播的工具完全有可能危及企业项目。”

McElroy同时补充称,大多数加密货币攻击并非针对其核心区块链技术。相反,犯罪分子追求的是安全性较差的交易所以及未得到充分保护的个人及企业钱包。黑客们还发动中间人攻击,从而将加密货币交易转移至自己的钱包当中。

根据McAfee最近发布的区块链安全性报告,其中许多问题都与最终用户的安全能力或实施方式有关,而非源自区块链加密协议本身。同理可知,企业项目同样有可能存在实施问题,这意味着即使暴露的攻击面远小于公有链,其仍有可能成为黑客攻击的目标。McElroy指出,“对于任何希望采用区块链技术的企业而言,他们首先应该权衡实施这项技术带来的好处以及引入新技术所引发的风险。”

破解企业环境内区块链体系的五种方式-E安全

考虑到这一点,下面我们将细数区块链领域存在的五大严重安全风险:

1.输入区块链交易时发生人为错误

在某些方面,企业区块链可能比公有链项目更为脆弱。区块链的一大好处,在于其采用的大规模分布式点对点网络带来的强大弹性。如果其中某个节点陷入瘫痪,系统能够通过路由机制将其绕过,从而确保不致出现单点故障。如果有参与者试图向分类账中添加非法交易,那么其他成员将以共识形式发现问题并将其清理出去。然而,如果有人在善意的情况下犯下失误,又会如何?

Sophos有限公司首席研究科学家Chet Wisniewski表示,“去中心化的优势在于如果没有达成共识,那么任何内容都无法改变。因此,当加密货币交易发生错误时,用户将无法将其撤销。因为没有中心权威方的存在,所以一旦用户弄丢了代币钱包的密码,相关资产也将被永远尘封。在企业领域,这样的解决方案可不是什么好主意。”

此外,虽然区块链加密能够阻止用户更改分类账历史记录,但其中通常会进行设置以便参与者们能够轻松添加新条目。对于企业项目而言,参与者们通常身为可依赖的交易方而非随机公众成员。High-Tech Bridge SA公司CEO Ilia Kolochenko表示,“但一旦某位受信方遭到黑客入侵,那么区块链的安全保障能力也将立即消失。”

破解企业环境内区块链体系的五种方式-E安全

2.  51%攻击

更糟糕的是,如果大多数网络节点遭到入侵,又会引发怎样的后果?很明显,攻击者能够造成严重的后果。这就是51%攻击背后的基本思路。恶意行为者或组织将接管系统中的大多数节点,并迫使其他参与者接受其操纵结果。

在比特币方面,这样的攻击方式很难奏效,因为网络上的参与者数量过于庞大。然而,规模较小的加密货币易受此类攻击影响,例如Bitcoin Gold。今年5月,攻击者成功发动51%攻击并取得价值1800万美元的加密货币。

企业区块链项目的参与者数量通常远低于公共加密货币平台。ForeScout公司新兴技术副总裁Rob McNutt指出,“网络规模越小,对其加以操纵所需要的节点数就越少。如果银行推出区块链以处理交易,那么其节点数量将远远少于公共网络,这意味着需要操纵的设备数量也低得多。”

另外,企业部署往往存在同质化倾向,这意味着如果在其中某一节点中发现漏洞,攻击者将能够利用其入侵其它所有节点。McNutt指出,“相比之下,在公有链项目当中,人们会下载不同的采矿软件,且各节点的具体配置也有所不同。”

3. 区块链实现错误

区块链项目的另一大重要漏洞来源,在于该项技术尚处于早期发展阶段,因而很容易出现实现层面的错误。事实上,就连核心区块链加密技术也可能存在问题。Wisniewski表示,其中的算法可能在数学层面具有合理性,但特定版本中的代码却往往引发错误。
Wisniewski解释称,“如果大家无法理解其中的基本数学原理,那么就相当于下载了一个所谓‘魔术盒’,您根本不明白它是怎样起效的。我们在开源世界中已经无数次见证过类似的情况,人们依赖第三方库处理任务,有人潜入GitHub并篡改了代码,但直到六个月之后问题才被发现。”

另外,区块链技术还非常年轻。Wisniewski认为,“大家也无法确定有可能出现哪些错误。我们需要妥善管理区块链部署所带来的一切加密密钥。大多数企业甚至无法正确管理自己的网站证书,更不要说新增的一大堆新凭证。”

企业区块链还可能受到大量来自其它技术项目的攻击向量的影响。以网络金钱与欺诈为例,CA Veracode公司CTO兼联合创始人Chris Wysopal表示,目前之所以还没有看到针对企业区块链的此类攻击,只是因为相关项目的数量还比较有限。

这些攻击活动在公共项目中已经相当常见。他指出,“我们已经发现了很多攻击,人们会伪装成接收者、拦截或入侵网页以劫持交易。他们的攻击目标不一定是加密密钥,也可以是任何其它类型的交易活动。”

建立区块链项目的企业需要确保掌握一切基础知识,包括使用最新、最安全的软件开发与审核流程,确保将多因素身份验证落实到位,同时锁定网站以防止网络攻击。总部位于弗吉尼亚州的网络安全企业Merlin International公司工程副总裁Tej Luthra指出,“如果企业容易受到跨站点脚本攻击的影响,那么无论是私有链还是公有链都将无济于事。一切广泛存在于网络安全领域的攻击手段,都有可能对区块链项目造成影响”

4. 智能合约面临威胁

2016年,去中心化自治组织(简称DAO)利用以太坊平台启动了基于区块链的投资基金。以太坊是一种特殊的区块链版本,除了实现简单的货币交易之外,其还能够存储智能合约。根据Gartner公司所言,黑客得以利用智能合约从系统中窃取价值1.5亿美元的以太币。

Reason Software公司创始人兼CEO Andrew Newman表示,“去中心化自治组织案例已经成为一种典型,其证明将资产存储在区块链中并不代表其本身就可安全无忧。”

最近一段时间以来,每个人都打算使用区块链技术。他表示,“人们普遍认为,通过使用点对点分布式分类账模型,其上实现的一切内容也将拥有安全保障。很明显,这是一个错误的假设。具体实现方案的安全水平仍然取决于项目的编写质量。”

智能合约对企业客户确实拥有强大的吸引力。其能够在满足条件时自动执行,且没有拒绝的余地。这同时意味着解决问题、修复错误以及扭转欺诈行为将变得极为困难。举例来说,我们能够轻松编写出一份永远无法满足其中条件的合约,或者故意在其中填写错误的发送地址。

如果发生这种情况,那么对应资产将最终被锁定在区块链当中。这绝对不是什么理论层面的问题,而是实际存在的挑战。去年秋季,就有人意外锁定了几份多方以太坊合约,并导致价值超过3亿美元的加密货币损失。

5. 利用尚未曝光的区块链漏洞

如今,公共加密货币交易所可谓区块链生态系统中的“众矢之的”。其中承载着可观的价值、易受攻击且恶意活动被抓获的机率似乎很低。英特尔公司安全部门副总裁兼CTO Raj Samani表示,“犯罪分子将永远追求最大的投资回报率。”

而目前的情况似乎确实不容乐观。McAfee公司高级威胁研究负责人Steve Povolny认为,“目前区块链行业才刚刚兴起,我们甚至没有一套平台用于查找及报告非加密货币相关区块链当中存在的漏洞。”他指出,目前约有50家主流企业表示有意投资、收购或者采用区块链技术,“但我认为我们在短时间内还看不到其真正被引入生产流程。”

随着企业项目上线,其中承载着的大量与资金、关键基础设施或业务流程,甚至是政治或军事敏感信息相关的内容将彻底改变行业现状。Hosho公司(一家专注于智能合约审计工作的拉斯维加斯初创企业)创始人兼CEO Yo Sub Kwon认为,“这对每个人来说都代表着一条重大的学习曲线。首先进入区块链领域的大公司将获得先发优势并积累更多宝贵经验。”

尚未做好全面上线的准备

Verodin公司行为研究团队负责人James Lerud表示,就目前而言,商业领域的区块链实际上是一套正在盲目寻找问题的解决方案。“最大的风险源自这种盲目的心态,即希望利用区块链解决一切,并在没有考虑清楚的情况下急于动手。必须强调的是,区块链绝不是什么灵丹妙药。”
Lerud表示,区块链架构提供了以共识方式建立信任的能力,这意味着我们有望彻底摆脱中间人机制。其确实能够解决很多问题,但无法解决所有问题。他总结称,“这正是企业在调查区块链技术时可能弄错的方面。人们的普遍思路是‘这套解决方案不错,让我们为它找些问题’。从技术角度来看,这样的思维方式其实相当危险。”

 E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。